Vor zwei Jahren habe ich mir der "Wasser predigen, Wein trinken?" Reihe angefangen und werfe in kleinen Jahresrückschauen einen Blick auf die Veränderungen in meinem Nutzungsverhalten. Es ist ein ganz persönlicher Einblick in die Kompromisse, die man im Kampf um Datenschutz im digitalen Alltag eingehen muss.

Der Blog auf [Mer]Curius spiegelt meine gegenwärtigen Interessen im Bereich Datenschutz/-sicherheit meist ziemlich gut wider. Im vergangenen Jahr haben sich da bestehende Tendenzen fortgesetzt und es gab einige Neuerungen.

Hardware & Betriebssysteme

Der Hardware-Aspekt war dieses Jahr extrem langweilig. Ich verwende noch exakt die gleiche Kombination aus Desktop, Notebook und Smartphone wie vor einem Jahr. Seitdem ich Hardware mit Apfel drauf verwende, bin ich da deutlich nachhaltiger geworden. Die aktuellen Betriebssystemversionen laufen ohne Einschränkungen - warum sollte ich also neue Hardware kaufen? Ganz allgemein ist meine Bereitschaft viel Zeit in die Softwarepflege zu stecken gesunken. Konfigurationen mit hohem Wartungsaufwand löse ich zunehmend ab durch pflegeleichtere Alternativen.

Apple hat aber zugegebenermaßen meine Nerven in diesem Jahr sehr strapaziert. Nach jeder neuen Betriebssystemversion gibt es einige Kommentatoren die meckern. Oft sind das dann sehr spezielle Einsatzszenarien, veraltete Komponenten im Netz oder halb-defekte Hardware. Dieses Jahr hatte ich nach den Upgrades auf iOS 13 bzw. macOS 10.15 Probleme auf allen Geräten. Alleine schon die Anzahl an Updates seit September spricht da Bände.

Linux läuft noch auf zwei Notebooks in meiner Verantwortung und ein paar virtuellen Maschinen für spezielle Einsatzszenarien. Änderungen in diesem Bereich sind extrem unwahrscheinlich geworden, da ich die Entwicklung von Linux auf dem Desktop inzwischen höchst langweilig finde. Es gibt zwar andauernd Updates aber keine relevanten Entwickungen für mich. Die Desktopentwicklung stagniert, LibreOffice ist ein Graus, die Community kloppt sich immer noch wegen systemd und mit dem Dualismus aus Snap/Flatpak wiederholt man alte Fehler. Trotz des Ärgers mit der Apple-Qualitätssicherung sehe ich mich also mittelfristig nicht in größerem Umfang zu Linux zurückkehren.

Das gleiche gilt im mobilen Bereich. Für einen speziellen Einsatzzweck hatte ich im Sommer nochmal mit Android gearbeitet (siehe auch die Serie: Android ohne Google I: Vorüberlegungen) aber für den Alltag ist das nichts. Es fehlen nicht nur die Apps außerhalb des Play Store-Ökosystems, ich finde auch Android kein besonders gut zu bedienendes Betriebssystem. Die anderen Experimente im mobilen Bereich fristen leider ein Nischendasein. Ubuntu Touch läuft nur noch auf uralter Hardware, von Purism ist in nächster Zeit nicht viel zu erwarten (siehe: Purism Librem 5 - Bestenfalls eine Experimentalstudie) und SailfishOS bindet sich meiner Meinung nach zu stark an die russische Regierung (siehe: Jolla / Sailfish OS - Zu enge Staatsverbindungen?). Abgesehen davon finde ich die Communitys beider Systeme hochgradig unsympathisch (siehe: Kommentar: Librem 5 kommt später und nicht vollständig).

Mein Linux Homeserver hat im Sommer ebenfalls den Hardware-Tod erlitten. Nach einigen Monaten der Abwägung (siehe: Homeserver / NAS - Die Qual der Wahl) ist es dann ein Synology NAS geworden (siehe: Synology NAS I: Die Entscheidung für ein Synology NAS). Das Betriebssystem DSM basiert zwar auf Linux, ist aber natürlich nicht die reine Lehre und hat mit der Community nicht viel zu tun.

Das empfinde ich aber auch nicht mehr so tragisch wie früher. Ich weiß nicht, ob sich meine persönlichen Ansprüche und Erwartungen geändert haben oder ob sich die Community zum negativen verändert, aber manchmal habe ich den Eindruck, dass die Linux Gemeinschaft nur noch aus einem Haufen verbitterter, alter, weißer Männer mit Hang zu Verschwörungstheorien besteht. Die Kommentare rund um die jüngste Affäre von Richard Stallman auf einigen Plattformen wie z. B. Pro-Linux waren da sehr entlarvend.

Verschlüsselung

Der Absatz lässt sich deutlich kürzer halten. Vielleicht lasse ich ihn nächstes Jahr ganz weg. Keines meiner Systeme ist unverschlüsselt - das betrifft auch externe Backupmedien. Seit einiger Zeit ist das auch derart leicht bzw. wird von den Herstellern so offensiv angeboten, dass es alles andere als ein Hexenwerk ist.

Die verwendeten Methoden passen sich den Systemen an. Bei Linux ist eine Vollverschlüsselung mittels LUKS die erste Wahl (siehe: LUKS - Betriebssystem verschlüsseln), unter macOS findet die native APFS-Verschlüsselung in Kombination mit FileVault seine Verwendung (siehe: macOS mit FileVault verschlüsseln). Bei betriebssystemübergreifendem Einsatz ist VeraCrypt die erste Wahl (siehe: VeraCrypt - Systemübergreifende Verschlüsselung).

Daten kommen nicht in die Cloud, sondern werden über das NAS verwaltet.

Kommunikation

Wo Verschlüsselung hingegen ein durchaus problematisches Thema bleibt, ist der gesamte Kommunikationsbereich.

E-Mails, Kontakte und Kalender organisierte ich seit 2013 über Posteo (siehe: Datenschutz-sensible E-Mail Dienstleister). Bedingt durch persönliche Veränderungen verwalte ich Kontakte und Kalender inzwischen wieder selbst und nutze eine E-Mail Adresse bei einem anderen Dienstleister. An der grundsätzlichen Empfehlung für Posteo möchte ich aber nicht rütteln.

Sofern Videokommunikation notwendig ist greife ich meist zu FaceTime (siehe: FaceTime - Verschlüsselte Videokommunikation im Apple Ökosystem) oder Wire (siehe: Verschlüsselte (Video-)Kommunikation mit Wire) wenn der Gegenüber keine Apple-Hardware hat. Nach dem Umzug von Wire in die USA bin ich aber zur Zeit am überlegen, ob hier alternative Lösungen existieren.

Mobil habe ich ein Sammelsurium an Messengern. Man erreicht mich via Signal, Threema, SMS und iMessage (siehe: Sichere Messenger - Verschlüsselung und Metadaten). Telegram unterstütze ich hingegen ganz bewusst nicht, weil es lediglich Sicherheit simuliert.

Meine Dienstenutzung orientiert sich also am Mainstream. XMPP, Jitsi, Tox und andere Exotenlösungen haben meiner Meinung nach zu viele Ecken und Kanten um sinnvoll nutzbar zu sein. Zumal bei Kommunikationslösungen ja immer mehr als eine Person dazu gehören und ich die Benutzung dieser Dienste niemandem (nicht mal mir selbst!) aufbürden möchte.

Dienste

Das leitet ganz allgemein zu den Diensten über. Die allgemeine Richtlinie lautet: Man versuche freie Dienstangebote zu nutzen und nicht den großen Datenkraken weiteres verwertbares Material zu liefern. Letztes Jahr bin ich zu DuckDuckGo gewechselt - an die Gründe erinnere ich mich gar nicht mehr - daran hat sich auch nichts geändert. Zu Navigationsdiensten nutze ich meist Apple Maps, da es besser in meinen Arbeitsalltag integriert ist als OpenStreetMap und erstaunlicherweise Nutzerdaten ziemlich gut schützt (siehe: Kartendienste unter die Lupe genommen).

Ansonsten gilt das Prinzip möglichst viel lokal zu erledigen. Musikstreaming inklusive Verwertung meines Geschmacks erspare ich mir beispielsweise immer noch durch ordinären Kauf der gewünschten Alben. Nachrichten kommen per RSS-Feed ohne Zwischendienstleister wie Feedly & Co auf mein System um möglichst wenig über mein Leseverhalten zu teilen. Zur Synchronisation nutze ich seit einiger Zeit FreshRSS (siehe auch: RSS Feeds synchron halten mit FreshRSS)

Grundsätzlich muss man halt immer den Datenschutz mit einkalkulieren und dann entscheiden, ob einem der Dienst das wert ist (siehe: Kommentar: Daten als Faktor einkalkulieren).

Sünden

Die Blogartikel spiegeln also ziemlich gut was bei mir so technisch los ist. Aber das Leben wäre zu schön, wenn man es dabei belassen kann. Ein paar Sünden gibt es dennoch: Auf dem Smartphone ist WhatsApp installiert (mit gesperrtem Kontaktzugriff). Zumindest in meinem Freundes- und Bekanntenkreis kann ich hier keine Wanderungsbewegung zu sicheren Messengern feststellen. Hinzu kommen zwei Streaminganbieter für Filme und Serien, die laut DSGVO-Abfrage ziemlich viel Profilbildung im Hintergrund betreiben. Seit einigen Monaten experimentierte ich mit mobilen Zahlungsmethoden als alternative zur Kartenzahlung (siehe: Apple Pay - Gut umgesetzter Datenschutz) bevorzuge aber nach Möglichkeit weiterhin Bargeld.

Außergewöhnliches

Insgesamt würde ich mein Nutzungsverhalten noch als ziemlich Mainstream-Kompatibel bezeichnen. Es gibt lediglich eine kleine Besonderheit: Zum surfen verwende ich jedoch in einem substanziellen Bereich auch das Tor-Browser-Bunde (siehe: Anonymität im Internet mit TOR) und wenn ich ganz paranoid bin auch Tails (siehe: The Amnesic Incognito Live System). Hierzu habe ich Bereiche mit klarer Identität, wie z. B. hier auf [Mer]Curius, abgetrennt von Bereichen in denen ich anonym unterwegs sein möchte. Während die Tor Browser Bundles für den Desktop und Android klare Fortschritte verzeichnen, machen es einem Cloudflare und Konsorten zunehmend schwerer (siehe: Tor und die lästigen Captcha-Abfragen).

Fazit

Datenschutz und Sicherheit ist für mich spätestens seit 2013 ein wirklich wichtiges Thema. Dieses Projekt hier begleitet mich seit 2014. Die naheliegende Kombination mit Open Source ist bei mir tendenziell auf dem Rückzug. In manchen Bereichen musste ich einfach von puristischen Lösungen oder der dogmatischen Verwendung von Open Source Abstand nehmen. Anstelle von Linux haben Apple-Systeme bei mir inzwischen die Oberhand.

In vielen Bereichen haben aber Fortschritte in der Benutzbarkeit das Leben deutlich vereinfacht. Sichere Kommunikationslösungen wie Signal sind inzwischen weit verbreitet. Der E-Mail Verschlüsselung wurde jedoch 2019 der Todesstoß verpasst (siehe: Reale E-Mail Verschlüsselung - Eine Persiflage). Das war 2013 noch ein Thema, ist aber inzwischen erledigt.

Die größte Bedrohung für den Datenschutz geht von den Tendenzen zu einer immer größeren Automatisierung aus. Smartphone, Assistenzsysteme in Autos, Tracking im Nah- und Fernverkehr. Das Überwachungspotenzial ist hier gewaltig. Wie gut, dass viele in der Privacy-Szene immer noch über Telefonnummern nachdenken (siehe: Telefonnummern - Warum so ein Aufhebens?).

Bilder:

Einleitungs- und Beitragsbild von freestocks.org via Unsplash

Um ein NAS sinnvoll nutzen zu können benötigt man eigentlich einen Zugriff auf Gerät von außerhalb. DDNS und Portfreigabe sind hier die Schlagworte. Sobald man sich damit beschäftigt kommen mahnende Stimmen, die auf die mangelnde Sicherheit verweisen. Ignoriert sie!

Natürlich ist der Zugriff auf das heimische Netz ein Sicherheitsrisiko. Wenn man darauf verzichten kann, sollte man genau das tun. Sicherheit erreicht man schließlich durch Minimierung der überflüssigen Angriffsmöglichkeiten. Wer sich aber ein NAS anschafft um damit eine Cloud unter eigener Kontrolle aufzubauen, der hat sich den Sinn gut überlegt, schließlich musste man dafür je nach Gerät nicht unerhebliche Summen investieren.

Besondere Vorsicht sollte man natürlich walten lassen, wenn man eine Person des öffentlichen Lebens ist, starker persönlicher Bedrohung ausgesetzt ist oder in einem verbrecherischen System lebt. Auf die meisten Kunden eines NAS und Leser dieses Blogs wird das aber nicht zutreffen. Sie sind nur der ganz alltäglichen Bedrohung durch einen immer übergriffigeren Staat, spionierende Großkonzerne und neugierigen Familienmitgliedern ausgesetzt.

Bezogen auf jene mahnenden Experten, die das Perfekte zum Feind des Guten machen, wurde vor einigen Jahren der passende Begriff der Sicherheitsnihilisten geprägt (siehe: Sicherheitsnihilismus - Eine treffende Beobachtung). Schauen wir uns die Argumentation und die vorgeschlagenen Lösungen vor. Deren gibt es im wesentlichen drei.

Die erste Gruppe findet, dass eine Freigabe des NAS im Internet das Risiko so groß werden lässt, dass man besser auf kommerzielle Cloudspeicher ausweicht. Diese Leute umgehen also das Risiko einer Ausnutzung einer Sicherheitslücke auf dem eigenen Gerät durch einen Angreifer (immerhin also eine zielgerichtete Attacke) mit dem permanenten Risiko seine Daten bei einem fremden Anbieter zu speichern - wohlmöglich auch noch unverschlüsselt. Anstelle also das eigene Netz Ziel eines Angriffs werden zu lassen, gibt man lieber einem Anbieter, dessen Angestellten, (je nach Gesetzeslage dem Staat) und vielen weiteren die Möglichkeit auf die Daten zuzugreifen. Ganz davon abgesehen natürlich, dass auch die großen Anbieter Opfer von Angriffen werden können und man das Risiko damit nur auslagert.

Die zweite Gruppe sieht das nicht so extrem, sondern empfiehlt den Einsatz eines VPN-Zugriffs anstelle einer Portfreigabe der Dienste. Dadurch bewegt man sich bildlich gesprochen auch in der Ferne im eigenen Netz und kann dann die Dienste des NAS nutzen. Ob das praktikabel ist hängt aber von den Nutzungsszenarien ab, was die Verfechter des Szenarios gerne ignorieren. Insbesondere bei Nutzung des NAS als Sync-Zentrale erfordert dies eine permanente Aktivierung des VPN bei allen Endgeräten. Je nach Nutzungsort oder Land ist das teilweise gar nicht möglich. Diese Lösung funktioniert zudem nur, wenn man lediglich als Einzelperson das NAS nutzt und keine Freigaben für Dritte oder Gruppenzugriffe benötigt.

Die dritte Gruppe richtet alle ihre Endgeräte so ein, dass die Sync-Prozesse erst im Heimnetz aktiv werden und arbeitet außerhalb mit den gespeicherten Zwischenständen. Diese Gruppe ist aber offenkundig nicht sonderlich mobil, da ihr Arbeitsprozess voraussetzt, dass sie regelmäßig mit allen Endgeräten im Heimnetz sind um die Daten abzugleichen.

Meiner Meinung nach kann man diese Bedenkenträger getrost ignorieren. Wenn man ein NAS besitzt, dessen Betriebssystem noch nicht das Supportende erreicht und lediglich die benötigten Dienste und Ports freigegeben hat, verfügt man über ein hinreichendes System. Ein Angriff würde immerhin eine zielgerichtete Attacke mit krimineller Energie auf das eigene Netz voraussetzen. Hier kommt man in einen Bereich, da man sich besser einen Anwalt sucht und Anzeige erstattet, anstelle erweiterte technische Schutzmaßnahmen zu ergreifen.

Vor allem jene verbreitete Gruppe, die lieber auf öffentliche Clouds zurückgreifen um ihr NAS nicht einem potenziellen Angriff auszusetzen haben eine absurde Risikoabwägung vorgenommen. Sie gewichten das Risiko eines zielgerichteten Angriffs höher, als das permanente Datenschutzrisiko durch Rückgriff auf einen kommerziellen Cloudbetreiber. Wer sein NAS nur relativ eingeschränkt nutzt, kann über einen VPN Zugriff nachdenken. Wer dafür sein Nutzungsverhalten zu stark einschränken muss oder aber teile seiner Daten in eine öffentliche Cloud auslagern müsste, sollte seine Risikoabwägung nochmal überdenken.

Bilder:

Einleitungs- und Beitragsbild von Free To Use Sounds via Unsplash

Eine wichtige Funktion moderner NAS-Systeme ist die Bereitstellung einer persönlichen Cloud mit vergleichbaren Funktionen wie sie z. B. Dropbox, OneDrive, iCloud oder die zahllosen anderen kommerziellen Dienstleister bieten. Synology bietet hier mit Drive eine einfach einzurichtende und intuitiv zu bedienende Lösung.

Dieser Artikel ist Teil einer Serie:

• Synology NAS I: Die Entscheidung für ein Synology NAS
• Synology NAS II: Time Machine Sicherung
• Synology NAS III: Fernzugriff mit Let's Encrypt Zertifikat
• Synology NAS IV: Kalender und Aufgaben synchronisieren
• Synology NAS V: WebDAV Zugriff
• Synology NAS VI: Adressbuch synchronisieren
• Synology NAS VII - Cloudspeicher (Drive) einrichten
• Synology NAS VIII - Freigegebene Ordner verschlüsseln

Auf meinen bisherigen Linux Homeservern lief immer eine ownCloud/Nextcloud (siehe auch: Cloud in Eigenregie III: Nextcloud einrichten). Theoretisch ist es möglich auch auf einem Synology System eine Nextcloud einzurichten. Ich benötige aber nicht die vielen Funktionen einer Nextcloud, da Synology dafür eigene Apps entwickelt hat. Eine Nextcloud auf dem NAS einzurichten erschien mir dann überladen.

Synology hat in der Vergangenheit mit unterschiedlichen Ansätzen gespielt. Ursprünglich entwickelte man die Cloud Station. Diese hat man im dann vor einiger Zeit durch das neue Produkt Drive abgelöst. Im aktuellen DSM 6 System sind beide Pakete noch verfügbar aber im kommenden DSM 7 wird es nur noch das Synology Drive geben. Daher sollte man gleich das Drive einrichten um zukunftsfest zu sein.

Installation und Einrichtung

Die Installation geht wie üblich über das Paket-Zentrum, wo man das Paket Synology Drive Server installieren muss.

Anschließend hat man im App Launcher des NAS drei Symole:

1. Synology Drive Admin-Konsole
2. Synology Drive
3. Synology Drive ShareSync

ShareSync ist eine Funktion um mehrere Synology NAS Systeme miteinander zu verbinden. Dieser relativ spezielle Anwendungsfall wird hier nicht berücksichtigt.

In der Admin-Konsole konfiguriert man das Synolog Drive. In den Einstellungen kann man festlegen welches Volume genutzt werden soll - eine Funktion, die vor allem bei 4-Bay NAS Systemen interessant sein kann. Weiterhin kann man entscheiden ob man die Dateiindizierung für die Suche nutzen möchte und über einige Funktionen entscheiden. Beispielsweise ob man Dateifreigaben überhaupt erlauben möchte.

Das Synology Drive kennt zwei unterschiedliche Typen von Freigaben. Es gibt Benutzerordner, die unter Eigene Dateien angelegt werden und meinem persönlichen Account zugeordnet sind und Team-Ordner für geteilte Freigaben. Was man hier verwendet hängt stark vom Nutzungszenario ab. Team-Ordner machen nur bei mehreren Nutzern in einem Haushalt oder kleinen Büro wirklich Sinn. Der typische Single-Nutzer kann einfach mit seinem persönlichen Account arbeiten. Hier sollte dann lediglich der Eigene Ordner aktiviert sein.

Hinter dem App Launcher Synology Drive verbirgt sich dann eine eigene Web-App mit den typischen Funktionen eines Cloud-Speichers wie sie auch andere Dienstleister bieten. Man kann Dateien verwalten und anlegen, sowie Freigaben organisieren.

Verbindung mit Clients

Spätestens seit Dropbox vor einigen Jahren seinen Client veröffentlichte gehören entsprechende Programme zum Konzept des Cloudspeichers. Sie integrieren den Webspeicher in die Dateiverwaltung des Betriebssystems und sorgen für eine Synchronisation der Dateien, sowie die Möglichkeiten auf die Daten zuzugreifen wenn kein Internet verfügbar ist.

Um von außerhalb des eigenen Netzwerks auf das Synology Drive zugreifen zu können müssen standardmäßig die Ports 6690 und 5001 für die Web-App und die mobilen Clients freigegeben werden. Für die Synchronisation mit den Desktopclients reicht die Freigabe des Ports 6690.

Sofern man die Web-App oder die mobilen Clients benötigt sollte man Synology Drive einen separaten Port zuweisen. Dies geht in der Systemsteuerung unter Anwendungsportal. Hier wählt man die Anwendung und dann die Schaltfläche bearbeiten. In den Einstellungen lässt sich nun ein beliebiger Port wählen (Synology weist drauf hin, wenn ein gewählter Port bereits reserviert ist). Diesen kann man anschließend für die Portweiterleitung im Router freigeben. Dadurch trennt man das Drive von der DSM Konfigurationsoberfläche, die man besser nicht von außerhalb des heimischen Netzes verfügbar macht. Wenn man natürlich aus irgendwelchen Gründen die Oberfläche des DSM bereits freigegeben hat, kann man sich diesen Schritt sparen.

Das Desktoprogramm für Synology Drive steht für Linux, macOS und Windows zur Verfügung. Die Installation erfolgt nach den Vorgaben des jeweiligen Betriebssystems. Leider haben die Programme einige Schwächen. Es handelt sich um Qt-basierte Programme mit einer eigenen Optik. Sie integrieren sich dadurch entsprechend schlecht in alle Betriebssysteme. Die macOS-App ist zudem keine native App, sondern installiert sich ziemlich sonderbar in das Homeverzeichnis des Benutzers unter .SynologyDrive. Weiterhin divergiert der Funktionsumfang je nach Betriebssystem. Die Funktion Sync-on-Demand, bei der die Dateien nicht vollständig synchronisiert werden, sondern erst beim Zugriff im Hintergrund geladen werden gibt es zur Zeit nur für Windows 10.

Die Einrichtung erfolgt ansonsten weitestgehend identisch zu anderen Sync-Clients. Man legt verschiedene Sync-Paare zwischen lokalen Ordnern und Ordnern auf dem NAS an.

Dabei kann man bei allen Betriebssystemen Unterordner ausschließen und Dateien per Filter vom Sync-Prozess ausnehmen. Im Synchronisationsmodus kann man zudem festlegen ob die Dateien immer abgeglichen werden oder lediglich ein Up- respektive Download erfolgen soll.

Innerhalb von Drive-Ordnern kann man über den Client sehr einfach Freigabe-Links erstellen und teilen.

Mobile Apps existieren für Android und iOS. Die Apps integrieren sich optisch ganz passabel in das jeweilige System und bieten einen zufriedenstellenden Funktionsumfang. Im Gegensatz zu ihren Desktoppendants bieten sie standardmäßig lediglich einen Online-Zugriff auf die Ordner mit der Option einzelne Dateien für einen Offline-Zugriff vorzuhalten.

Erfahrungen & Fazit

Synology Drive funktioniert unauffällig im Hintergrund. Die Synchronisationsprozesse funktionieren problemlos und klappen auch nach längeren Offline-Phasen oder bei Dateikonflikten. Durch Versionierung und Link-Freigaben hat man die gleichen Möglichkeiten, wie sie kommerzielle Cloud-Dienstleister bieten. Nur halt gespeichert in den eigenen vier Wänden und unter eigener Kontrolle.

Wünschenswert wäre eine bessere Integration in den jeweiligen Betriebssysteme - sowohl funktional, als auch hinsichtlich des optischen Erscheinungsbilds. Schön wäre zudem wenn neue Funktionen wie Sync-on-Demand auch für macOS und Linux zur Verfügung ständen. Vor allem bei Notebooks mit beschränkten SSD-Kapazitäten möchte man einzelne Ordner nicht komplett synchroniseren, sondern lediglich für den Zugriff bereithalten.

Bilder:
Einleitungs- und Beitragsbild von IO-Images via pixabay

(Wirklich) kurz notiert: Rust 1.39, die Sprache für alle, die "C++ schon durchgespielt haben", ist letzte Woche erschienen.

async und await

Die wohl interessante Änderung ist, dass das async-System langsam zur "Marktreife" gelangt. async und await sind insbesondere für die nebenläufige Programmierung interessant und werden für die Netzwerkprogrammierung intensiv eingesetzt. Konkret ist es nun möglich, Funktionen mit

async fn foo() {

}

zu definieren und diese dann mit .await aufzurufen. Python-Entwickler sollten dieses Verhalten ebenfalls kennen.

Weitere Änderungen

Des Weiteren wurde das Verhalten beim Borrowing und Moving innerhalb von match-Blöcken geändert und (mein persönliches "Highlight") Parameter lassen sich mit Präprozessordirektiven-ähnlichen Attributen für konditionelle Programmierung so definieren, dass bestimmte Parameter einer Funktion z.B. nur auf Windows verfügbar sind.

Wie immer wurden darüber hinaus APIs "stabilisiert", d.h. Pinning und const fn (ähnl. zu constexpr in C++), welche in den letzten Rust-Versionen eingeführt wurden, halten weiter Einzug in die Standardbibliothek.

Happy programming!

Seit Red Hat auf seine eigene Docker-Lösung Podman setzt, ist die Verwendung von Docker unter CentOS und Fedora zunehmend mühsamer geworden. Man könnte fast den Eindruck gewinnen, Red Hat will Docker das Leben so schwer wie möglich machen …

Wie dem auch sei: Hier finden Sie eine Anleitung, wie Sie die originalen Docker-Pakete unter Fedora 31 bzw. CentOS 8 installieren und einrichten.

Docker unter Fedora 31 installieren

Wie unter Fedora 31 erläutert, verwendet Fedora 31 als erste »große« Distribution standardmäßig cgroups2. An sich ist das eine gute Sache, allerdings sind die meisten marktüblichen Container-Systeme noch nicht cgroups2 kompatibel. Sie müssen also cgroups1 reaktivieren. (Diese und alle weiteren Kommandos sind mit root-Rechten auszuführen.)

grub2-editenv - set "$(grub2-editenv - list | grep kernelopts) systemd.unified_cgroup_hierarchy=0"
reboot

Falls Sie die Moby-Engine installiert haben, müssen Sie diese entfernen:

dnf remove moby-engine

Anschließend richten Sie die Docker-Paketquelle für Fedora ein und installieren mit docker-ce auch die abhängigen Pakete docker-ce-cli und containerd.io.

dnf config-manager --add-repo https://download.docker.com/linux/fedora/docker-ce.repo
dnf install docker-ce 
systemctl enable --now docker    # Docker-Dämon starten

Das Kommando docker verrät, dass die Version 19.03 installiert ist:

docker version
  Client: Docker Engine - Community
     Version:         19.03.4
  Server: Docker Engine - Community
    Engine:
    Version:          19.03.4
  ...

Docker unter CentOS 8 installieren

RHEL 8 und CentOS 8 verwenden (noch?) das cgroups1-Framework; diesbezüglich sind also keine Änderungen erforderlich. Sie können also gleich damit beginnen, die Docker-Paketquelle einzurichten:

yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

Der Versuch, nun wie unter Fedora einfach docker-ce zu installieren, scheitert aber mit einer Fehlermeldung. docker-ce setzt eine aktuelle Version des Pakets containerd.io voraus. Dieses Paket existiert in den Paketquellen, aber yum weigert sich aus unerfindlichen Gründen, es zu verwenden.

Die Installation gelingt über Umwege aber doch. Dazu werfen Sie zuerst einen Blick in die Paketquelle:

https://download.docker.com/linux/centos/7/x86_64/stable/Packages

Dort suchen Sie nach der aktuellsten verfügbaren Version des containerd.io-Pakets. Im November 2019 war das die Version 1.2.10. Diese Version installieren Sie nun, indem an yum explizit die Adresse des Pakets in der Paketquelle übergeben.

yum -y install https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.2.10-3.2.el7.x86_64.rpm

In der Folge klappt nun die Installation der restlichen Pakete und die Aktivierung des Docker-Dämons:

yum install docker-ce
systemctl enable --now docker

Damit steht dieselbe Docker-Version wie unter Fedora zur Verfügung:

docker version
  Client: Docker Engine - Community
     Version:         19.03.4
  Server: Docker Engine - Community
    Engine:
    Version:          19.03.4
  ...

Benutzer zur docker-Gruppe hinzufügen (gilt für CentOS + Fedora)

Das Kommando docker erfordert normalerweise root-Rechte. Um das ständige Voranstellen von sudo zu vermeiden, sollten Sie Ihren gewöhnlichen Arbeits-Account zur docker-Gruppe hinzufügen. (Alle Mitglieder der docker-Gruppe können das Kommando docker auch ohne sudo ausführen.)

usermod -aG docker <accountname>

Die Änderung wird erst nach einem neuerlichen Login wirksam.

Beachten Sie, dass diese scheinbar harmlose Gruppenzuordnung zwar viel Arbeitskomfort gibt und entsprechend beliebt ist, aber gleichzeitig auch ein großes Sicherheitsrisiko darstellen kann. Indirekt geben Sie dem betroffenen Account damit Root-Rechte! Warum das so ist, erläutert die Docker-Dokumentation. Auf einem Entwicklungsrechner, auf dem Sie ohnedies sudo-Rechte haben, ist die Einstellung OK. Auf einem Produktivsystem ist das usermod-Kommando eher nicht zu empfehlen.

Firewall-Probleme (gilt für CentOS + Fedora)

Grundsätzlich können Sie Docker jetzt verwenden — aber es besteht noch ein großes Problem: In den Docker-Containern funktioniert der Internet-Zugang nicht. Genaugenommen ist nur der Nameserver-Zugriff blockiert, aber das ist schlimm genug. Im Web finden Sie diverse Lösungswege zur Behebung des Problems, von der kompletten Deaktivierung von firewalld bis hin zu Ausnahmeregeln für die vom Docker-Dämon verwendete Netzwerkschnittstelle docker0 (siehe auch die Links am Ende des Artikels). Sicherheitstechnisch am vernünftigsten erscheint es, für das aktive Firewall-Profil (unter Fedora normalerweise FedoraWorkstation, unter CentOS normalerweise public nur das Masquerading zu aktivieren. Dazu finden Sie zuerst den Profilnamen heraus, wobei Sie anstelle von enp1s0 den Namen Ihrer Netzwerkschnittstelle zum Internet angeben.

firewall-cmd --get-zone-of-interface=enp1s0
   FedoraWorkstation

firewall-cmd --zone=FedoraWorkstation --add-masquerade --permanent
firewall-cmd --reload

Um den Docker-Netzwerkzugang zu testen, richten Sie einen Container von Alpine Linux ein und führen darin ping mit irgendeiner bekannten Adresse aus:

docker run --rm -it alpine:latest /bin/sh
/ # ping google.de
PING google.de (172.217.22.67): 56 data bytes
64 bytes from 172.217.22.67: seq=0 ttl=53 time=25.920 ms
64 bytes from 172.217.22.67: seq=1 ttl=53 time=26.283 ms
^C
--- google.de ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 25.920/26.101/26.283 ms
/ # exit

Leider ist das nicht das einzige Firewall-Problem. Jeder Docker-Container kann in einer an sich
geschlossenen Firewall den Schutz für einzelne Ports »aufreißen« (siehe dieses github-Issue). Das liegt daran, dass das Firewall-Systeme von Fedora/CentOS/RHEL nicht mit Docker koordiniert ist. Ähnliche Probleme können auch bei anderen Linux-Distributionen auftreten, die eine Firewall aktivieren. Eine unmittelbare Lösung dafür gibt es nicht.

Quellen

• https://www.redhat.com/sysadmin/fedora-31-control-group-v2
• https://forums.docker.com/t/docker-ce-on-centos-8/81648
• https://www.reddit.com/r/docker/comments/d8j8jj/bad_news_for_those_wanting_to_use_docker_in

Zur Firewall-Problematik:

• https://serverfault.com/questions/987686
• https://unix.stackexchange.com/questions/199966
• https://docs.docker.com/network/iptables
• https://github.com/firewalld/firewalld/issues/461

Nur mal so für mich zum merken.

Immer wenn ich mal auf einem neuen (jungfräulichen) Linuxrechner zu tun habe, fehlt mir meine Lieblingseinstellung für den vi

cat ~/.vimrc
:map <F2> :w\|!python3 %<CR>
:color industry
if has("autocmd")
  au BufReadPost * if line("'\"") > 1 && line("'\"") <= line("$") | exe "normal! g'\"" | endif
endif

Der :map auf F2 sorgt für das unmittelbare Ausführen des Python Codes.

Aber das ist nur ein Gimmick.

:color ist selbsterklärend.

Wichtiger für mich ist der autocmd Teil. Das sorgt dafür, dass sich vi(m) merkt, in welcher Zeile ich in jeweiliger Datei war.

Ps: habt ihr evtl. noch andere Dinge, die das Leben erleichtern?

Das klassische Cheatsheet besteht meistens aus einer Sammlung von Befehlen oder Hilfestellungen, die auf einer DIN A4 Seite zusammengefasst werden.
Solche Spickzettel können auf dem Rechner als PDF abgelegt werden oder im Büro ausgedruckt einen Platz an der Wand finden.

Cheat.sh

Cheat.sh geht hier einen anderen Weg und holt den Nutzer da ab wo er ist, auf der Kommandozeile.

Mit dem Tool können via curl einfache Hilfestellungen zu Kommandozeilenbefehlen, Programmiersprachen oder Datenbanken abgerufen werden.
Anders als beispielsweise die man pages, stellt cheat.sh einfache Beispiele zur gesuchten Abfrage dar.

Zur Nutzung muss das Tool nicht zwingend installiert werden, eine Verbindung zum Internet reicht völlig aus.

Einen Linux Befehl abrufen, hier am Beispiel von tar.

curl cheat.sh/tar

# tar
# Archiving utility.
# Often combined with a compression method, such as gzip or bzip.
# More information: <https://www.gnu.org/software/tar>.

# Create an archive from files:
tar cf target.tar file1 file2 file3

# Create a gzipped archive:
tar czf target.tar.gz file1 file2 file3

# Extract a (compressed) archive into the current directory:
tar xf source.tar[.gz|.bz2|.xz]

# Extract an archive into a target directory:
tar xf source.tar -C directory

# Create a compressed archive, using archive suffix to determine the compression program:
tar caf target.tar.xz file1 file2 file3

# List the contents of a tar file:
tar tvf source.tar

# Extract files matching a pattern:
tar xf source.tar --wildcards "*.html"

Nach einem bestimmten Begriff suchen, am Beispiel von Docker.

curl cheat.sh/~docker

Eine Programmiersprache lernen, in diesem Fall Python.

curl cheat.sh/python/:learn

Übersicht

curl cheat.sh

Die Github Seite des Projektes verrät mehr über den riesen Umfang des Cheatsheet.

Installation von Cheat.sh (global)

Natürlich lässt sich das Tool auch direkt auf dem System installieren bzw. hosten (dazu wird allerdings Docker benötigt).

Der Dienst cheat.sh hat einen eigenen Kommandozeilen-Client (cht.sh), der im Vergleich zur direkten Abfrage mit curl mehrere nützliche Funktionen bietet:

• Spezieller Shell-Modus mit persistentem Abfragekontext und Readline-Unterstützung
• Abfrage der Historie
• Integration der Zwischenablage
• Unterstützung der Tabulatorvervollständigung für Shells (bash, fish, zsh)
• Stealth-Modus

Eine Installation ist schnell erledigt.

sudo apt install rlwrap
curl https://cht.sh/:cht.sh | sudo tee /usr/local/bin/cht.sh
sudo chmod +x /usr/local/bin/cht.sh

Nach einer Installation kann cht.sh anstatt curl verwendet werden und es ergeben sich die oben erwähnten Möglichkeiten.

Einbindungen in den Editor

Cheat.sh unterstützt momentan die Einbindung in die Editoren wie Emacs, Sublime, Vim und Visual Studio Code.

Eine Anleitung findet ihr ebenfalls auf Github.

Cheat.sh und Windows

Sogar Windows wird von dem kleinen Tool bedient. Dazu ist eine Exe notwendig, die ihr hier findet.

Fazit

Perfektes Tool für das schnelle Nachschlagen eines Befehls, ohne das Terminal verlassen zu müssen.

Das Cheatsheet ist sicher nicht neu und besteht bereits seit 2017, allerdings hat sich seither viel getan.

Cheat.sh unterstützt ca. 1000 Linux Befehle und 56 Programmiersprachen.

Ein Medion Akoya E1210 fiel mir nach vielen Jahren wieder in die Hände.

Es war Debian 8 Jessi installiert.

Irgendwann war das Gerät zu klein, vor allem die Auflösung und der etwas lahme Prozessor waren wohl das Manko, was zum einmotten führte.

Bevor ich das Teil wieder in die Versenkung schicke, dachte ich mir, guckst du doch mal was das schlaue Internet dazu sagt.

Das Ergebnis:

Das Gerät ist weitgehend baugleich zum MSI Wind U100

Unterschied zum MSI U100: im Medion ist kein eingelötetes RAM, sondern nur ein Steckplatz, der ab Werk mit 1GB bestückt ist.

Der Hammer ist allerdings, dass es die Möglichkeit gibt das E1210 mit dem MSI BIOS zu flashen, um dann auch die Übertaktungsmöglichkeiten zur Verfügung zu haben.. Immerhin sind bis zu 124% CPU Takt drin!

Also ans Werk:

Freedos von http://www.ibiblio.org/pub/micro/pc-stuff/freedos/files/distributions/ geholt,

BIOS von https://www.msi.com/Laptop/support/U100#down-bios.

Damit einen bootfähigen USB Stick konstruiert und das E1210 damit geflasht.

Eine fast 100% richtige Anleitung wie man das macht ist hier:

https://feeding.cloud.geek.nz/posts/creating-freedos-bootable-usb-stick-to/

(Richtig: cp /usr/lib/syslinux/mbr/mbr.bin . Falsch: cp /usr/lib/syslinux/mbr.bin .)

Das Gerät muß dazu am Netz sein, wenn es auf Akku läuft, verweigert das Flash Utility die Arbeit mit der irreführenden Fehlermeldung, es hätte die vorhergehende BIOS Version nicht auslesen können, obwohl der Schalter, um die Überprüfung zu übergehen gesetzt ist.

Nach stromlos machen, 30 Sekunden warten muß beim nun folgenden ersten Boot die ESC Taste gedrückt werden, denn wie oben bereits erwähnt hat das MSI Board 1GB eingelötetes RAM, das natürlich initialisiert, bzw. gecheckt wird. Da das beim Medion nicht vorhanden ist, führt der Versuch zum schwarzen, eingefrorenen Bildschirm.

Mein Medion Akoya E1210 läuft nun mit Debian 10 Buster, Mate Desktop und 24% Übertaktung recht flott.

Was mache ich nun damit?

Ich denke im Elektronik Bastelzimmer ist es gut aufgehoben, um mal schnell einen Datenblatt nachzuschlagen oder ähnliches.

Ok, Chromium ist etwas träge, der Epiphany ist ein klein wenig flotter, eine reine Fraude ist das aber auch nicht, vielleicht sollte ich die 12,50€ für einen 2GB Riegel ausgeben, schadet bestimmt nicht. Denn nur der laufende Webbrowser mit ein paar einfachen Seiten und evince mit einem PDF Dokument reichen bereits aus um das RAM auszulasten und ersten 200MB Swap zu nutzen.

Die 80GB Hitachi Platte könnte man noch gegen eine SSD tauschen. Sollte ich mal mein Tuxedo XC1506 aufrüsten, fällt eine gebrauchte SSD 256 ab.

Für Software-Projekte werden häufiger mehrere Repositorys benötigt, in denen getrennt und zusammen voneinander entwickelt wird. Dies trifft insbesondere dann zu, wenn etwa eine Bibliothek in mehreren Projekten benötigt wird, aber unabhängig voneinander in den anderen Projekten genutzt wird. Hier ergibt es Sinn, ein separates Git-Repository für die Bibliothek zu nutzen und dieses in die anderen Projekte einzubinden.

git submodule

Eine Möglichkeit solche Unter-Repositorys einzubinden ist die Nutzung von git submodule. Diejenigen die es schon nutzen, dürften wissen, dass die Arbeit mit Submodulen häufig sehr anstrengend und mühselig ist – und das aus verschiedenen UX-Gründen.

Submodule müssen in einem Git-Repository mit git submodule add $REPO_URL zunächst hinzugefügt werden. Dadurch wird im entsprechenden Haupt-Repository die Datei .gitmodules angelegt, die direkt zum Staging-Bereich hinzugefügt wird. Nach einem Commit ist das Submodule korrekt eingebunden. Wenn ihr das Log anschaut, dann seht ihr das Log des Submodules nicht. Wenn ihr in das Unterverzeichnis rein wechselt und euch von dort das Log anschaut, dann seht ihr das Log des Submodule-Repositorys. Sobald ihr nun Commits im Submodule macht, müsst ihr von dort aus die Commits pushen und zurück in das Haupt-Repository wechseln. Von dort muss man dann erneut ein Commit tätigen, um das die Änderungen aus dem Submodule im Haupt-Repository ebenfalls korrekt verwenden zu können. Eine Änderung im Submodule führt also zu mindestens zwei Commits: ein Commit im Submodule und ein Commit im Haupt-Repository.

Komplizierter ist das Verhalten, wenn jemand das Haupt-Repository neuklont. Beim Klonen muss ein rekursiver Clone mit git clone --recursive notwendig oder ihr klont „normal“ und führt dann git submodule init in dem jeweiligen Submodule Verzeichnis aus. Wenn ihr nun noch eine Änderung machen wollt, dann müsst ihr im Submodule-Repository zunächst den richtigen Branch auschecken. Letzteres ist häufig verwirrend, weil man das überhaupt nicht gewohnt ist. Die übrigen Schritte, die zuvor erklärt wurden, kommen dann nochmal obendrauf.

Wer jetzt denkt „Hä?“ oder es ziemlich umständlich findet, denen kann ich jetzt zu Recht sagen: Stimmt! Angenehm ist was anderes. Ganz allgemein lohnen sich Submodule besonders dann, wenn die Versionen in Submodulen selten aktualisiert werden müssen und es demnach keine hohe Entwicklungsaktivität stattfindet.

git subtree

Eine Alternative zu git submodule ist git subtree. Es ist zwar auch nicht die perfekte Lösung, bietet aber einige Vor- und Nachteile im Vergleich zu git submodule.

In produktiven Umgebungen habe ich noch nicht mit git subtree gearbeitet, sondern habe es für diesen Blogpost erst angeschaut. In meinem Git-Repository für meinen Blog, den ihr gerade lest, hatte ich bis gerade eben auch ein Repository als Submodule eingebunden, was dem Theme der Webseite entspricht.

Im Folgenden gehe ich direkt mal in die Praxis und zeige, wie git subtree an einem praktischen Beispiel verwendet werden kann.

Zu Beginn muss das Repository als weiteres Remote-Repository hinzugefügt werden. In der Regel besitzt man Remote-Repositorys origin und vielleicht upstream. In dem Fall hat man zwei Remote-Repositorys, um nach origin seine eigenen Änderungen pushen zu dürfen (bei einem Fork etwa) und upstream, was dem Upstream-Repository des Projektes entspricht.

Das Remote-Repository muss wie folgt angelegt werden:

$ git remote add -f $REMOTE_NAME $REPOSITORY_URL

Der Befehl muss, wie zu sehen ist, mit -f aufgerufen werden. -f ist die kurze Form von --force. Aber warum --force? Das Remote-Repository, was als Subtree hinzugefügt werden soll, hat keine gemeinsame Historie, da die Historie bisher komplett getrennt war. Es ist schlicht kein verwandtes Repository.

In der Praxis sah es bei mir dann so aus:

$ git remote add -f AllinOne git@git.svij.org:svij/hugo_allinone_theme.git
Aktualisiere AllinOne
warning: keine gemeinsamen Commits
remote: Enumerating objects: 968, done.
remote: Counting objects: 100% (968/968), done.
remote: Compressing objects: 100% (574/574), done.
remote: Total 968 (delta 362), reused 947 (delta 351)
Empfange Objekte: 100% (968/968), 24.54 MiB | 11.15 MiB/s, Fertig.
Löse Unterschiede auf: 100% (362/362), Fertig.
Von git.svij.org:svij/hugo_allinone_theme
* [neuer Branch]    master     -> AllinOne/master
* [neues Tag]       v1.0       -> v1.0
* [neues Tag]       v1.1       -> v1.1
* [neues Tag]       v1.2       -> v1.2
* [neues Tag]       v1.3       -> v1.3
* [neues Tag]       v1.4       -> v1.4

Wie ihr sehen könnt, erfolgt eine Warnung, dass es keine gemeinsamen Commits gibt. Davon abgesehen wird das Remote-Repository wie jedes andere Remote-Repository auch gefetcht, also die Objekte heruntergeladen. Bis zu diesem Zeitpunkt haben wir noch nichts spezifisches für git subtree gemacht, das kommt aber jetzt.

Das Hinzufügen mit git subtree benötigt einige Parameter:

$ git subtree add --prefix $PATH_IN_REPO $REMOTE_NAME $BRANCH --squash

Wie ihr seht, ruft man git subtree add mit dem Parameter --prefix auf. Hier kann auch die Kurzform -P genutzt werden. Der Prefix ist der Pfad im Repository, wo der Subtree landen soll. Zudem muss noch der Name des zuvor hinzugefügten Remotes angegeben werden, sowie der Branch. In diesem Fall habe ich auch noch --squash hinzugefügt, damit die bisherigen Historie des Subtree-Repositorys nicht im Haupt-Repository landen soll, sondern nur als einzigen Commit in der Historie der Haupt-Repositorys erscheint.

In meinem Fall sah das Ganze in der Praxis dann so aus:

$ git subtree add --prefix themes/AllinOne AllinOne master --squash
git fetch AllinOne master
Von git.svij.org:svij/hugo_allinone_theme
* branch            master     -> FETCH_HEAD
Added dir 'themes/AllinOne'

Wenn wir uns aber nun die Historie ansehen, sehen wir zwei neue Commits:

$ git log -2 --oneline
e82400c (HEAD -> master) Merge commit '59be897c12c39412755cd93996d85590ef53fdc9' as 'themes/AllinOne'
59be897 Squashed 'themes/AllinOne/' content from commit 88c7956

In dem älteren Commit wurde das angesprochene Squashing des Repositorys durchgeführt, und in dem darauffolgenden Commit ist ein Merge durchgeführt worden. Im konkreten Fall wurde ein Merge von einem Branch durchgeführt, der nicht denselben Ursprung hat.

Falls sich im Subtree-Repository etwas unabhängig vom Haupt-Repository verändert, dann können die Änderungen wie folgt heruntergeladen werden:

$ git fetch AllinOne master
Von git.svij.org:svij/hugo_allinone_theme
* branch            master     -> FETCH_HEAD

Diese sind dann aber noch nicht (!) im Haupt-Repository gemergt. Dazu muss mit folgendem Befehl durchgeführt werden:

$ git subtree pull --prefix themes/AllinOne AllinOne master --squash

Der Parameter sind äquivalent zu den vorherigen Befehlen. Auch hier muss man die vielen Parameter mit angeben.

Anders sieht es allerdings aus, wenn man einen Commit im Haupt-Repository macht, wo der Inhalt des Subtree-Repositorys angefasst wird. In meinem Beispiel will ich etwa das Verzeichnis themes/AllinOne/exampleSite aus dem Haupt-Repository und dem Subtree-Repository entfernen. Die ersten Schritte sind soweit ganz normal:

$ rm -rf themes/AllinOne/exampleSite
$ git add themes/AllinOne
$ git commit -m "Remove exampleSite from AllinOne"
$ git push origin master

Mit diesem Befehl wurde im Haupt-Repository das Verzeichnis entfernt, ein Commit erstellt und gepusht. Dass es sich um ein Subtree-Repository handelt, ist von der Handhabung her nicht zu erkennen.

Was jetzt noch fehlt, ist das Pushen des Commits in das Subtree-Repository. Das funktioniert ähnlich wie auch beim Pull:

$ git subtree push --prefix=themes/AllinOne AllinOne master

Wenn man nun in die Historie des Subtree-Repositorys schaut, sieht man genau einen neuen Commit mit der Commit-Message Remove exampleSite from AllinOne.

Und das war es auch schon. Theoretisch und auch praktisch ist es auch möglich das ganze ohne das git subtree Kommando zu erledigen, was die Handhabung der Subtree-Funktion allerdings nicht erleichtert.

Fazit

Mit git subtree hat man einige Vor- und Nachteile im Vergleich zu git submodule. Die perfekte Lösung ist es auch nicht, da man zwangsläufig ein paar neue Befehle lernen muss und nicht vergessen darf, damit in beiden Repositorys die Änderungen landen.

Welche Vorteile hat also git subtree im Vergleich zu git submodule?:

• Bei bestehenden Repositorys mit Subtree ist kein git clone --recursive notwendig.
• Der Workflow um Änderungen im Haupt-Repositorys zu veröffentlichen ist vergleichsweise einfach.
• Nutzer von Repositorys mit Subtree müssen nicht wesentlich was Neues lernen.

Die Nachteile sind:

• Ein neuer Befehl subtree mit zahlreichen Parametern wird benötigt.
• Das Veröffentlichen von Änderungen im Subtree-Repository kann vergessen werden.

Es gibt sicherlich noch den ein oder anderen Vor- und Nachteil in der Praxis, der mir nicht bekannt ist. Da ich es bisher nicht produktiv eingesetzt habe, kann ich dazu noch nicht so viel sagen. Es ist jedenfalls auf Anhieb deutlich angenehmer zu nutzen, als git submodule und das ist dann ja schon mal etwas.

Vor ein paar Tagen habe ich mir auf mein Notebook etwas heruntergeladen, dass ich schlussendlich auf einem anderen Rechner benötigt habe. Um nicht wieder den Turnschuhadmin spielen zu müssen, habe ich mich gefragt welche Möglichkeiten es gibt Dateien möglichst ohne größeren Aufwand von Rechner X auf Rechner Y zu kopieren.

Der Bequemlichkeit halber bin ich bei LAN Share gelandet. Das Tool hat nur die Aufgabe Dateien bzw. ganze Verzeichnisse von einem Rechner zum anderen im LAN zu transferieren. Ideal wenn man nur alle paar Monate mal etwas spontan kopieren will.

Die grafische Oberfläche ist im Grunde idiotensicher. Man klickt links oben auf “Send” und wählt dann aus ob man Dateien oder Verzeichnisse versenden will. Dann wählt man die gewünschte Datei oder Verzeichnis aus und anschließend den Rechner der die Datei empfangen soll. Dort sollte logischerweise LAN Share auch gestartet sein. Abschließend klickt man auf “Send” und das war es schon.

Als ich meinen ersten Heim-Server installiert habe war ich noch von der Variante “Bare Metal” überzeugt und hielt es für die beste Option um die Performance nutzen zu können. Damals fanden die ersten Tests noch mit Debian 7 und das erste produktive System mit Ubuntu 10.04 statt. Die Hardware war nicht besonders leistungsfähig und noch auf 32 Bit.

Seitdem sind einige Linux Versionen veröffentlicht worden und auch die Hardware wurde leistungsfähiger. Die ersten Berührungen mit Virtualisierung im beruflichen Umfeld fand ich nicht immer überzeugend und es dauerte einige Jahre bis ich die Vorteile zu schätzen lernte.

Nun nutze ich auch im privaten Bereich VirtualBox um meinen Server zu betreiben. Für mich steht hier weniger die optimale Auslastung des Rechners im Vordergrund. Vielmehr kann ich den Server so optimal sichern, einfach als OVA Datei exportieren und ich kann auf jedem Rechner, egal ob Windows oder Linux sehr schnell den Server wieder zum laufen bekommen.

Auf meinem Host System läuft Ubuntu 18.04.2 in der Standart-Installation und Virtual-Box ist aus den Paketquellen installiert. In den virtuellen Maschinen nutze ich Ubuntu 18.04.2 Server (Live-Installer). Ich bin mit dem System und der Performance sehr zufrieden und sehe in diesem Bereich die Virtualisierung als beste Lösung an.

Die aktuelle Ubuntu Server Version mit Live-Installer ist eine wirklich geeignete Software für dieses Vorhaben. Im Gegensatz zum “alten” Debian Installer hat man zwar weniger Kontrolle über Details der Installation aber mit wenigen Klicks hat man einen soliden Server installiert der sinnvolle Voreinstellungen vornimmt und aktuelle Technik an Bord hat.

Über die Konfigurationsoberfläche about:config ist es Firefox-Nutzern möglich, zahlreiche versteckte Einstellungen vorzunehmen. Mit Firefox 71 erhält Mozillas Browser eine neu implementierte about:config-Oberfläche.

Firefox bietet beinahe unzählige Anpassungsmöglichkeiten für den Nutzer. Die für den Nutzer in den Einstellungen sichtbaren Einstellungen decken dabei nur einen geringen Teil ab. Über about:config findet man zahlreiche weitere versteckte Einstellungen.

Basierte das alte about:config noch auf der Mozilla-eigenen Oberflächen-Sprache XUL, ist die neue Oberfläche in Firefox 71 komplett mit handelsüblichen Webstandards entwickelt.

Auf diesem Blog wurde bereits früher geschrieben, dass Mozilla das alte about:config ersetzen wird, damals noch für Firefox 67 geplant. Seit dem hat das neue about:config diverse Verbesserungen erhalten, basierend auf dem Feedback der Nutzer.

So ist es nun wieder möglich, wie schon im alten about:config, Einträge per Doppelklick zu bearbeiten und mittels ESC-Taste eine geänderte Einstellung zu verwerfen. Auch ein „*“ als Platzhalter kann im Filterfeld wieder verwendet werden. Dadurch, dass für die Buttons jetzt Symbole verwendet werden, kommt es auch zu keinen Änderungen der Spaltengrößen mehr. Und die Zeile zum Hinzufügen eines neuen Schalters ist optisch jetzt besser von den anderen Zeilen abgegrenzt. Auch die Dino-Illustration, welche im leeren about:config erscheint, wurde gegen eine neutralere Grafik ausgetauscht.

Firefox 71 wird nach aktueller Planung am 3. Dezember 2019 erscheinen.

Der Beitrag Firefox 71 bekommt neues about:config erschien zuerst auf soeren-hentzschel.at.

Immer mehr Websites setzen auf sogenannte Web-Benachrichtigungen. Dies verursacht entsprechend auf immer mehr Seiten Nachfragen, welche von vielen als nervig empfunden werden. Mit Firefox 72 dämmt Mozilla dies ein.

Was sind Web-Benachrichtigungen?

Web-Benachrichtungen sind im Prinzip eine gute Sache: Websites können den Nutzer auf dem Laufenden halten, zum Beispiel im Falle eines Chats über neue Nachrichten, auch wenn die entsprechende Seite gerade nicht im Vordergrund ist. Ebenfalls gut: Web-Benachrichtungen benötigen die explizite Erlaubnis des Nutzers, Webseiten können den Nutzer also nicht ohne Zustimmung belästigen. Und weil es so praktisch ist, setzen immer mehr Webseiten darauf. Doch genau daraus ergibt sich ein Problem.

Was ist das Problem mit Web-Benachrichtigungen?

Die meisten Webseiten setzen dieses an sich sehr gute Feature falsch ein, weil sie den Benutzer bereits beim ersten Seitenaufruf belästigen, obwohl dieser in den meisten Fällen gar nicht die Absicht hat, Benachrichtigungen zu aktivieren. Kombiniert mit dem Umstand, dass das Ganze mittlerweile auf gefühlt jeder zweiten Webseite der Fall ist, führt dies zu einem hohen Nerv-Faktor der Nutzer, welche solche Dialoge nicht mehr sehen können.

Benachrichtigungs-Anfragen nur noch nach Nutzer-Interaktion

Seit April dieses Jahres hat Mozilla diverse Experimente mit Nutzern von Vorab-Versionen sowie einem Bruchteil (0,1 Prozent) der Nutzer finaler Firefox-Versionen durchgeführt, um die Akzeptanz dieses Features und mögliche Maßnahmen zu testen. Unter anderem stellte Mozilla fest, dass diese Anfragen in über 99 Prozent der Fälle nicht erlaubt werden, in 48 Prozent der Fälle wurden die Anfragen sogar explizit verneint. Gleichzeitig wurde festgestellt, dass wenn die Benachrichtigungs-Anfragen nur nach Interaktion durch den Benutzer angezeigt worden sind, die Web-Benachrichtigungen eine deutlich erhöhte Akzeptanz hatten.

Als Resultat dieser Untersuchung hat sich Mozilla zu zwei Änderungen entschlossen:

Bereits seit Firefox 70 entfällt die Option „Nicht jetzt“ in den Benachrichtigungs-Anfragen. Die zuvor versteckte dritte Option „Nie erlauben“ ist nun permanent neben „Benachrichtigungen erlauben“ sichtbar.

Ab Firefox 72 erscheinen keine Benachrichtigungs-Anfragen mehr direkt mit Seitenaufruf, sondern nur noch, wenn der Nutzer zuvor mit der Seite interagiert hat – beispielsweise durch Drücken eines Buttons.

Die Adressleiste zeigt aber weiterhin ein Icon an, so dass Nutzer, wenn sie das denn wollen, trotzdem die Möglichkeit haben, Web-Benachrichtigungen für die jeweilige Website zu aktivieren. Aber die Dialoge, welche automatisch aufploppen und fast nie gewollt sind, gehören ab Firefox 72 der Vergangenheit an.

Firefox 72 erscheint nach aktueller Planung am 7. Januar 2020.

Tipp: In den Firefox-Einstellungen im Abschnitt Berechtigungen des Reiters Datenschutz & Sicherheit können die Benachrichtigungs-Anfragen komplett abgeschaltet werden.

Der Beitrag Firefox 72: Benachrichtigungs-Anfragen nur noch nach Nutzer-Interaktion erschien zuerst auf soeren-hentzschel.at.

Um Kali Linux Tools nutzen zu können muss nicht zwingend eine Kali Linux Installation vorliegen.
Das Python Script Katoolin erlaubt es die ca. 300 Kali Anwendungen unter Debian basierten Distributionen zu verwenden.

Kali Linux Tools unter Ubuntu mit Katoolin

Die Installation ist denkbar einfach. Die Verwendung der Tools ist analog zu Kali Linux.

apt-get install git python

git clone https://github.com/LionSec/katoolin.git && cp katoolin/katoolin.py /usr/bin/katoolin

chmod +x  /usr/bin/katoolin

sudo katoolin

Danach stehen euch über ein Textmenü verschiedene Installation zur Verfügung. Hier können entweder alle Tools installiert oder einzelne herausgepickt werden.

Hier am Beispiel aircrack-ng:

Um bei der Navigation wieder in das Hauptmenü zu gelangen muss "back" eingegeben werden. Beenden lässt sich Katoolin mit Strg+C.

Nutzer von Desktopsystemen können unter Punkt 4. ebenfalls ein extra Menü für die Toolsammlung installieren.

Fazit

Durch Katoolin wird die Installation vieler Tools stark vereinfacht, zusätzlich bleibt dem Nutzer das Aufsetzen einer anderen Distribution erspart.

Der Abgleich der gespeicherten Kontakte ist ebenso sensibel wie bei Kalenderdaten. Zahllose kostenlose und kostenpflichtige Anbieter tummeln sich auf dem Gebiet. Nur wenige machen sich Gedanken, ob das überhaupt legal ist. Immerhin übertragt man die gespeicherten Informationen über unbeteiligte Dritte an einen fremden Dienst. Besser man nimmt dafür ein NAS!

Dieser Artikel ist Teil einer Serie:

• Synology NAS I: Die Entscheidung für ein Synology NAS
• Synology NAS II: Time Machine Sicherung
• Synology NAS III: Fernzugriff mit Let's Encrypt Zertifikat
• Synology NAS IV: Kalender und Aufgaben synchronisieren
• Synology NAS V: WebDAV Zugriff
• Synology NAS VI: Adressbuch synchronisieren
• Synology NAS VII - Cloudspeicher (Drive) einrichten
• Synology NAS VIII - Freigegebene Ordner verschlüsseln

Hierzu benötigt man einen CardDAV Server. Dabei handelt es sich um das Pendant von CalDAV und WebDAV für Kontakte. Ähnliche wie die beiden anderen Protokolle setzt es sich zunehmend durch und verdrängte proprietäre Alternativen wie EAS im Privatbereich.

Diesen kann man leicht aus dem Paket-Zentrum installieren. In der App aktiviert man natürlich sofort HTTPS und leitet unsichere HTTP-Verbindungen weiter. Es kann hier auch ein alternativer Port eingestellt werden, sofern 8443 im System bereits belegt ist.

Unter Adressbuch finden sich die im Synology DSM angelegten Benutzer. Ein Klick auf einen dieser Benutzer öffnet das zugehörige Adressbuch. Dies dürfte in den meisten Fällen noch leer sein.

Eine Synchronisation der Kontakte ist mit jedem System möglich, das CardDAV unterstützt. Native Unterstützung am Desktop bieten macOS und Linux, im mobilen Bereich lediglich iOS. Android kann über eine entsprechende App nachgerüstet werden. Für Windows gibt es ein AddIn für Outlook.

Je nach eingesetztem System unterscheidet sich die Einrichtung etwas. Sofern das Programm die Eingabe lediglich einer URL erlaubt wäre sie wie folgt:

https://ddns.deine-domain.de:8443/addressbooks/users/Deine-Benutzer-ID/addressbook

Die Bestandteile müssen ggf. angepasst werden. Wichtig ist die Übertragung von Domain, Port und Pfad zu deinem Benutzerprofil um das Adressbuch mit dem richtigen Benutzer der Synology NAS zu verknüpfen.

Auf diese Weise lassen sich gespeicherte Kontaktdaten zwischen den Geräten synchronisieren ohne diese auf die Server Dritter hochzuladen. Die Synology-Lösung unterstützt CardDAV ohne Einschränkungen.

Bilder:
Einleitungs- und Beitragsbild von kreatikar via pixabay

Seit mittlerweile Jahren verfasse ich so gut wie alles in Markdown. Wer es nicht kennt: Markdown erlaubt es auf sehr einfache Art und Weise Dokumente zu verfassen, und das ohne Officesuiten verwenden zu müssen. Sämtliche Artikel hier auf dem Blog sind in Markdown verfasst, und auch all meine Notizen sowie die meisten meiner Unterlagen. Nextcloud unterstützt seit Version 17 Markdown nativ, und davor konnte man den Markdown Editor verwenden (der auch eine geteilte Ansicht unterstützt, was sehr praktisch ist. Leider funktioniert die App unter Nextcloud 17 im Moment nicht).

Nur eines hat mir bisher immer gefehlt: Ein guter Markdowneditor für den Desktop. Ich habe so ziemlich alles ausprobiert, und bin letztlich dann bei Remarkable gelandet. An sich kein schlechter Editor, könnte aber besser sein.

Gestern bin ich dann (zufällig) auf Mark Text gestoßen, und habe damit endlich das gefunden, was ich schon lange suche: Einen absolut minimialistisch gehaltenen Editor, welcher sich rein auf das Schreiben konzentriert. Das wird auch direkt beim Start klar, denn das Fenster sieht fast schon erschreckend leer aus:

Außerdem können auch ganze Ordner geöffnet werden, dann sieht es schon etwas anders aus:

Zudem ist das der bisher einzige von mir getestete Editor (!), bei dem sowohl der Export als HTML wie auch PDF ohne Probleme funktioniert. Jeder andere Editor, den ich bisher getestet habe, hatte damit Probleme. Entweder fehlten irgendwelche Pakete/Abhängigkeiten/Konfigurationen, oder das Ergebnis war alles andere als ansehnlich (dabei ist Markdown gerade deswegen so beliebt, weil man damit auf einfache Weise gut aussehende Dokumente erstellen kann).

Und damit viel Spaß beim Schreiben :)

Synology verwendet für seine NAS ein eigenes Betriebssystem, den Diskstation Manager (DSM). Dabei handelt es sich um eine Linux-Variante mit einer Weboberfläche, in die zahlreiche Dienste als Apps eingebunden werden. Doch was verwendet da Synology genau?

Außer der grobe Verweis auf eine Linux-Basis findet sich nicht viel dazu in den Dokumentationen und im Internet. Das ist nicht sonderlich präzise, da eine Linux-Basis erst einmal nur bedeutet, dass der Linux-Kernel in irgendeiner Version Verwendung findet. Auf der Weboberfläche lässt sich allerdings ein SSH Zugriff öffnen über den man zumindest einen kleinen Blick auf die Basis erhalten kann.

Der Kernel der gegenwärtig aktuellen Version DSM 6.2.2 trägt die Version 4.4.59+. Taufrisch ist also definitiv was anderes. Eine Auflistung der Dateistruktur ergibt eine übliche Dateisystemstruktur, wie sie auch bei den meisten Linux-Distributionen vorkommt.

lrwxrwxrwx   1 root root    7 Oct 21 22:59 bin -> usr/bin
drwxr-xr-x   7 root root    0 Nov  2 08:01 config
drwxr-xr-x  10 root root 7380 Nov  2 08:01 dev
drwxr-xr-x  46 root root 4096 Nov  2 08:01 etc
drwxr-xr-x  43 root root 4096 Oct 21 23:05 etc.defaults
drwxr-xr-x   2 root root 4096 May  9 23:50 initrd
lrwxrwxrwx   1 root root    7 Oct 21 22:59 lib -> usr/lib
lrwxrwxrwx   1 root root    9 Oct 21 22:59 lib32 -> usr/lib32
lrwxrwxrwx   1 root root    7 Oct 21 22:59 lib64 -> usr/lib
drwx------   2 root root 4096 May  9 23:50 lost+found
drwxr-xr-x   2 root root 4096 May  9 23:50 mnt
dr-xr-xr-x 283 root root    0 Jan  1  1970 proc
drwx------   3 root root 4096 Oct 21 23:00 root
drwxr-xr-x  27 root root 1700 Nov  2 10:30 run
lrwxrwxrwx   1 root root    8 Oct 21 22:59 sbin -> usr/sbin
dr-xr-xr-x  12 root root    0 Nov  2 08:01 sys
drwxrwxrwt  16 root root 1500 Nov  2 10:51 tmp
drwxr-xr-x   2 root root 4096 Oct 21 23:02 tmpRoot
drwxr-xr-x  10 root root 4096 May  9 23:06 usr
drwxr-xr-x  17 root root 4096 Nov  2 08:01 var
drwxr-xr-x  14 root root 4096 Oct 21 22:59 var.defaults
drwxr-xr-x   1 root root  372 Nov  2 08:01 volume1
drwxr-xr-x   3 root root 4096 Oct 31 18:34 volumeUSB1

Die Migration nach /usr wurde hier bereits vollzogen. Debian hat das jüngst erst in Version 10 hinbekommen. Das spricht daher gegen ein schlecht gewartetes Uralt-Linux.

Als zentrale Datenbank verwendet DSM eine PostgreSQL, die laut postgres -V in Version 9.3.22 vorliegt. Taufrisch ist was anderes und seit Ende letzten Jahres auch ohne Support. Hoffentlich pflegt Synology diese Version selbst.

Als Webserver verwendet Synology NGINX und folgt damit den aktuellen Modetrends. Die vorliegende Version ist 1.15.7. Auch nicht ganz aktuell aber immerhin mit Releasedatum von 2019. Sofern Synology die Sicherheitsaktualisierungen danach wenigstens zurück portiert hat.

Ein Blick in /usr/bin und /sbin verrät, dass Synology auch nur mit Wasser kocht. Hier sind die üblichen GNU/Linux Tools zu finden. Interessant sind folgende Aspekte:

• dpkg ist installiert. Inwieweit das bei Paketinstallationen und Updates zum Einsatz kommt müsste man prüfen.
• ecryptfs ist installiert. Vermutlich für die integrierte Verschlüsselung der Freigaben.

Die eigene Software legt Synology unter /usr/syno ab.

Das Betriebssystem DSM ist in weiten Teilen also eine herkömmliche Linux-Distribution, angereichert mit zahlreichen Eigenentwicklungen im Pfad /usr/syno. Die Versionen sind dabei streckenweise sehr alt. Es bleibt abzuwarten, ob sich hier mit der kommenden Version DSM 7 was tut.

Wenn jemand mehr Informationen zum DSM hat würde ich mich über Kommentare sehr freuen.

Bilder:
Einleitungs- und Beitragsbild von GregoryButler via pixabay

An unserer Schule verwenden wir Zammad als Support-Plattform bzw. Helpdesk. Zammad ist eine wirklich tolle Software, die mit jedem Release neue Features mitbringt. Mittlerweile gehört auch ein Wissensdatenbank (aka Knowlegdebase) zum Angebot von Zammad. Mit Zammad bekommt alles man (und mehr), was man sich von einer Support-Plattform in der Schule wünscht. Zammad bietet verschiedene Supportkanäle an. Neben eMail, Chat, SMS, Twitter oder Facebook gibt es auch die Möglichkeit über Telegram Supporttickets zu erhalten. Heute möchte ich zeigen, wie man Telegram in Zammad integrieren kann.

Hinweis: Die Integration von Telegram klappt nur, wenn Zammad öffentlich per HTTPS erreichbar ist!

Telegram-Bot erstellen

Um über Telegram Supportanfragen erhalten zu können, muss man zuerst einen Telegram-Bot erstellen. Telegram-Bots sind Telegram-Konten, die von Computern bedient werden (Roboter-Accounts), oft in Verbindung mit künstlicher Intelligenz. Wie man einen Bot erstellt, steht hier.

Zuerst sucht man den „Vater aller Bots“ – Botfather und gibt folgenden Befehl ein:

/newbot

Man muss nun einen Namen für den Bot angeben und einen Benutzernamen, der

1. nicht vergeben sein darf und
2. auf _bot endet.

Am Ende erhält man einen Link zum Bot und den API Key, den wir gleich brauchen werden.

Telegram in Zammad integrieren

In Zammad befinden sich die Einstellungen zu Telgram unter Admin → Kanäle → Telegram. Mit einem Klick auf Bot hinzufügen kann nun der eben erstellte Bot hinzugefügt werden. Dazu gibt man den API Key ein und kann bei Bedarf noch die Willkommensnachricht und die Gruppe anpassen, der die Tickets zugeordnet werden sollen.

Nach dem Klick auf Übermitteln ist der Bot nun einsatzbereit und neue Tickets können per Telegram erstellt werden.

Telegram-Kanal benutzen

Um ein neues Ticket zu erstellen, muss der Benutzer bzw. Kunde nur den Telegram-Bot suchen. In unserem Fall heißt er myschool_support_bot.

Wenn man den Bot ausgewählt hat, muss man nur unten einmal auf Starten klicken und schon begrüßt einen Zammad mit der Willkommensnachricht, die wir vorher festgelegt haben:

Sobald man nun eine weitere Nachricht schreibt, erstellt Zammad daraus ein Ticket.

Eine entsprechende Benachrichtigung erscheint nun in Zammad.

In Zammad kann man nun direkt auf das Ticket antworten. Wichtig ist, das man nicht einfach in das Textfeld unten schreibt, sondern vorher auf antworten klickt. Neben dem Textfeld erscheint nun auch das Telegram-Symbol.

Mit einem Klick auf Aktualisieren wird die Nachricht an den Kunden bzw. Telegram-Benutzer geschickt.

Wünsche

Die Integration Telegram in Zammad funktioniert zuverlässig. Trotzdem ist die bisherige Implementation nur rudimentär. Folgende Features finde ich wünschenswert:

• mehr Befehle für den Bot, um z.B. den Status des Tickets abzurufen, alle Tickets anzeigen zu lassen, …
• aktuell kann immer nur ein Ticket gleichzeitig erstellt werden. Es wäre schön, wenn man mit Hilfe des Bots auch parallel mehrere Tickets erstellen könnte.
• Möglichkeit für Agents Tickets direkt in Telegram beantworten zu können
• Telegram zusätzlich als Integration um z.B. Benachrichtigungen über neue Tickets zu erhalten

Fazit

Tickets zu melden (so meine Erfahrungen aus dem Schulumfeld) ist für viele eine Herausforderung. Früher hatten wir ein Webformular, dass nur wenige genutzt haben. Dann haben wir mit Zammad einen eMail-Kanal eingerichtet. Die Hürde ein Ticket zu erstellen wurde dadurch niedriger. Mit der Integration von Telegram in Zammad ist diese Hürde noch einmal geringer geworden – zumindest für alle die diesen Messenger benutzen.

1 Kommentar

Der Beitrag Wie man Telegram in Zammad integrieren kann erschien zuerst auf .:zefanjas:..

Seit Version 6 (die jetzt auch schon über ein Jahr alt ist) gibt es in VirtualBox einen neuen Grafik-Controller. Leider ist die Standardeinstellung für Linuxgäste nicht so ganz optimal. Das Handbuch sagt hierzu:

 Graphics Controller: Specifies the graphics adapter type used by the guest VM. Note that you must install the Guest Additions on the guest VM to specify the VBoxSVGA or VMSVGA graphics controller. The following options are available:

    VBoxSVGA: The default graphics controller for new VMs that use Windows 7 or later.

    This graphics controller improves performance and 3D support when compared to the legacy VBoxVGA option.

    VBoxVGA: Use this graphics controller for legacy guest OSes. This is the default graphics controller for Windows versions before Windows 7 and for Oracle Solaris.

    VMSVGA: Use this graphics controller to emulate a VMware SVGA graphics device. This is the default graphics controller for Linux guests.

Die Standardeinstellung für Linux-Gäste ist also VMSVGA. Bedauerlicherweise hat das einige Nachteile, wie bspw. die Standardauflösung von 800x600 Pixeln, die in der heutigen Zeit alles andere als optimal ist.

Auch VBoxVGA ist nicht wirklich geeignet. Zwar erlaubt diese Einstellung immerhin die automatische Erkennung und Anpassung des virtuellen Bildschirms bei Änderung der Fenstergröße, gibt aber gleichzeitig auch jedes Mal, wenn man das Gastsystem startet, eine Warnung bei aktivierter 3D-Beschleunigung aus. Ab Version 6.1 von VirtualBox wird es diese Einstellung nämlich für den Grafik-Controller nicht mehr geben, empfohlen wird VMSVGA als Alternative.

Die einzig sinnvolle Lösung für ein halbwegs aktuelles Linuxsystem ist daher VBoxSVGA. Diese Einstellung erlaubt nicht nur die dynamische Anpassung der Auflösung, sondern auch eine aktive 3D-Beschleunigung. Wieso VBoxSVGA nur der Standard für aktuelle Windowsysteme ist, und nicht auch für Linuxgäste, ist mir schleierhaft. Unter allen von mir in letzter Zeit getesteten Linuxsystemen ist das die sinnvollste Einstellung – und hat bisher auch ohne Ausnahme problemlos funktioniert.

Mozilla hat mit Firefox 70.0.1 das erste Update für Firefox 70 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 70.0.1

Manche Nutzer beklagten seit dem Update auf Firefox 70, dass Elemente, welche dynamisches JavaScript nutzen, teilweise nicht geladen werden konnte. Betroffen von dem Problem waren unter anderem Facebook und YouTube. Die Ursache dafür liegt in der Überarbeitung der Local Storage-Implementierung („Local Storage Next Generation“), welcher mit Firefox 70 aktiviert und aufgrund dieses Problems in Firefox 70.0.1 zunächst wieder deaktiviert worden ist.

Das OpenH264-Plugin wurde für Nutzer von Apple macOS zwecks Kompatibilität mit dem neuen macOS Catalina aktualisiert. Außerdem wurde ein Problem für Nutzer von Apple macOS behoben, welches dafür sorgte, dass die Titelleiste im Vollbildmodus unter Umständen nicht verschwand und die Tableiste verdeckte.

Der Beitrag Mozilla veröffentlicht Firefox 70.0.1 erschien zuerst auf soeren-hentzschel.at.

WebDAV ist das Datei-Pendant für CalDAV und CardDAV. Es ermöglicht Zugriff auf die gespeicherten Dateien ohne diese auf das jeweilige Gerät zu synchronisieren. Im eigentlichen Betrieb ist das nicht sonderlich praktisch, weil die Verbindungen nicht sehr stabil sind und die Zugriffszeiten flüssiges Arbeiten verhindern. Manche Programme gleichen darüber aber Daten ab.

Dieser Artikel ist Teil einer Serie:

• Synology NAS I: Die Entscheidung für ein Synology NAS
• Synology NAS II: Time Machine Sicherung
• Synology NAS III: Fernzugriff mit Let's Encrypt Zertifikat
• Synology NAS IV: Kalender und Aufgaben synchronisieren
• Synology NAS V: WebDAV Zugriff
• Synology NAS VI: Adressbuch synchronisieren
• Synology NAS VII - Cloudspeicher (Drive) einrichten
• Synology NAS VIII - Freigegebene Ordner verschlüsseln

Vor allem im Bereich der Passwortmanager hat sich der Abgleich über einen WebDAV Server als Alternative zu den proprietären Cloudspeichern etabliert.

Synology unterstützt standardmäßig kein WebDAV, dies kann aber über ein entsprechendes Paket nachinstalliert werden. Damit lässt sich ein WebDAV Zugriff auf die Daten aktivieren. Für ein Mindestmaß an Sicherheit empfiehlt es sich nur den HTTPS-Port zu aktivieren.

Der Zugriff erfolgt dann über den folgenden Pfad:

https://ddns.nas-domain.de:5006/<Ordner>

Der Ordnername ist natürlich zu ändern.

Das ist natürlich keine schöne Implementierung, zumal durch diese Methode jeder freigegebene Ordner angesteuert werden kann, aber deckt manche unumgänglichen Einsatzszenarien ab.

Zusätzlich kann das WebDAV übrigens auch noch eine CalDAV Schnittstelle bereitstellen. Das kann sinnvoll sein wenn man seine Daten nicht in der Synology Calendar App speichern möchte. Die meisten werden mit dieser aber besser bedient sein (siehe: Synology NAS IV: Kalender und Aufgaben synchronisieren).

Bilder:
Einleitungs- und Beitragsbild von kreatikar via pixabay

Fedora 31 wurde heute untypisch pünktlich fertiggestellt. Rein optisch hat sich wenig geändert, aber hinter den Kulissen finden sich doch ein paar Veränderungen abseits der üblichen Versionsnummersprünge.

Updates 12.11.2019: Link auf redhat-Blog mit vielen cg2-Grundlagen, auch Snap ist cg2-inkompatibel

Neuerungen

• 64-Bit only: Die 32-Bit-Variante von Fedora wurde eingestellt.

• SSH root: Standardmäßig kann sich root nicht mehr via SSH anmelden (PermitRootLogin = no in /etc/ssh/sshd_config).

• cgroups 2: Die größte technische Neuerung in Fedora 31 besteht darin, dass standardmäßig Control Groups 2 (cgroups 2, kurz cg2) zum Einsatz kommen. Diese im Kernel verankerten Funktionen erlauben die Überwachung von Prozessen und die Limitierung der Ressourcen, die einem Prozess zur Verfügung stehen. cgroups 2 stellt diesbezüglich eine Menge neue Funktionen zur Verfügung, allerdings gibt es momentan diverse Programme, die mit cgroups 2 noch nicht kompatibel sind. Dazu zählt auch Docker (siehe die folgende Überschrift). Auch der Ubuntu-Paketdienst Snap zählt zu den Kollateralschäden (Bugzilla).

• RPM: RPM-Pakete sind jetzt mit Zstandard statt mit xz komprimiert. Das macht das Entpacken der Pakete schneller, verspricht also ganz generell die flottere Installation von Paketen sowie Updates mit weniger Lüftergeheule. Unverändert lahm ist allerdings die Eingabe dnf install abc [Tabulator] um herauszufinden, welche Pakete, deren Name mit abc beginnt, installiert werden können.

Docker

Fedora enthält keine Docker-Pakete mehr. Die Fedora-Entwickler empfehlen stattdessen den Einsatz des von Red Hat entwickelten Konkurrenzprodukts Podman (Kurzbeschreibung auf der inklupedia, Website). Podman bietet ähnliche Funktionen und hat technische Vorteile (root-less Betrieb, cgroups2-Unterstützung), ist aber nur begrenzt kompatibel zu Docker und daher nicht für jeden Entwickler eine sinnvolle Alternative.

Wenn Sie moby-engine (enthält das Kommando docker in der Version 18.09, aber nicht docker-compose) oder die Docker-Pakete von docker.com verwenden möchten, müssen Sie Fedora durch eine Kernel-Option auf cgroups1 zurücksetzen. Die Vorgehensweise ist in Common F31 bugs beschrieben:

sudo grub2-editenv - set "$(grub2-editenv - list | grep kernelopts) systemd.unified_cgroup_hierarchy=0"
sudo reboot

Das oben genannte Kommando grub2-editenv fügt der Datei /boot/grub2/grubenv eine zusätzliche Kerneloption hinzu.

Versionsnummern

Basis             Desktop             Programmierung   Server
---------------   ------------------  --------------   --------------
Kernel      5.3   Gnome        3.34   bash       5.0   Apache     2.4
glibc      2.30   Firefox        69   gcc        9.2   CUPS       2.2
X-Server   1.20   Gimp         2.10   Java        11   MariaDB   10.3
Wayland    1.17   LibreOffice   6.3   PHP        7.3   OpenSSH    8.0
Mesa       19.2   Thunderbird    68   Python     3.7   qemu/KVM   4.1
systemd     243                                        Postfix    3.4
NetworkMan 1.20                                        Samba     4.11
GRUB       2.02 

Quellen und Links

• Download
• Release Notes
• Change Set
• Common Bugs

• Ausführlicher Artikel zur CG2-Umstellung (lesenswert!)

• Test von heise.de

• Bericht bei pro-linux.de
• Fedora auf distrowatch.com

Kalenderinhalte sind sensible Daten und lassen viele Rückschlüsse zu. Besser man verwaltet so etwas nicht über Dienste Dritter sondern auf dem eigenen NAS. Synology bietet hier eine eigene App an. Diese ermöglicht eine Synchronisation der verschiedenen Geräte über das CalDAV Protokoll.

Dieser Artikel ist Teil einer Serie:

• Synology NAS I: Die Entscheidung für ein Synology NAS
• Synology NAS II: Time Machine Sicherung
• Synology NAS III: Fernzugriff mit Let's Encrypt Zertifikat
• Synology NAS IV: Kalender und Aufgaben synchronisieren
• Synology NAS V: WebDAV Zugriff
• Synology NAS VI: Adressbuch synchronisieren
• Synology NAS VII - Cloudspeicher (Drive) einrichten
• Synology NAS VIII - Freigegebene Ordner verschlüsseln

Die App ist nicht vorinstalliert, sondern muss aus dem Paket-Zentrum nachinstalliert werden. Die hört auf den simplen Namen Calendar. Anschließend erhält man einen optisch schlichten Calender als Webapp. Über diesen lassen sich mehrere Kalender anlegen und Termine eintragen.

Persönlich bin ich eher ein Freund von nativen Anwendungen und bevorzuge die Standardprogramme des jeweiligen Betriebssystems. Um Kalendereinträge über mehrere Geräte hinweg synchron zu halten hat sich in den letzten Jahren das CalDAV Protokoll fest etabliert. Die meisten Linux Programme, macOS und iOS Unterstützen es standardmäßig. Bei Android muss man eine zusätzliche App installieren und unter Windows ist es Programm-abhängig.

Die Synology App macht die CalDAV Synchronisation sehr einfach. Einfach den Pfeil neben einem Kalender anklicken und den entsprechenden Menüpunkt öffnen.

Das Fenster zeigt die URL für CalDAV Synchronisation an.

Die Zugangsdaten sind jene für das gewählte Synology Konto.

Die Einrichtung variiert je nach Betriebssystem und Programm, lässt sich aber mit den folgenden Bestandteilen immer bewerkstelligen:

• URL: https://ddns.deine-url.de
• Port: 5001 oder 38443
• Pfad: /caldav/<benutzer>

Die Portnummer zeigt bereits, dass bei einer Synchronisation außerhalb des heimischen Netzes eine Portfreigabe im Router erteilt werden muss. Hier ist die Nutzung von 38443 zu empfehlen, da mit 5001 die Synology Konfigurationsoberfläche freigegeben wird. Wer das aber - aus welchen Gründen auch immer - bereits macht kann die Freigabe eines zusätzlichen Ports 38443 sparen. Lediglich einer der beiden Ports muss freigegeben sein.

Zusätzlich bietet die Kalender App von Synology noch ToDo Listen. Diese verstecken sich in der App unter der Schaltfläche ganz unten rechts. Über das Hamburger-Icon oben in der Leiste lassen sich neue Aufgabenlisten anlegen und diese mit Aufgaben füllen.

Diese werden theoretisch ebenfalls via CalDAV synchronisiert. Der Abgleich von Tasks via CalDAV Protokoll ist zwar eigentlich etabliert, gestaltet sich aber in der Praxis erfahrungsgemäß etwas hakelig. Nicht alle Programme unterstützen dies zuverlässig. Momentan funktioniert es beispielsweise bei mir auf dem iPhone, nicht aber bei macOS.

Bilder:
Einleitungs- und Beitragsbild von 200degrees via pixabay

Das NAS dient mir als zentrales Synchronisationswerkzeug für den PIM-Bereich (Personal Information Manager). Neben Termine, Aufgaben und Kontakten auch Notizen und archivierte E-Mails. Auf diese Informationen benötige ich jederzeit Zugriff, weshalb das NAS auch außerhalb des Heimnetzes erreichbar sein muss.

Dieser Artikel ist Teil einer Serie:

• Synology NAS I: Die Entscheidung für ein Synology NAS
• Synology NAS II: Time Machine Sicherung
• Synology NAS III: Fernzugriff mit Let's Encrypt Zertifikat
• Synology NAS IV: Kalender und Aufgaben synchronisieren
• Synology NAS V: WebDAV Zugriff
• Synology NAS VI: Adressbuch synchronisieren
• Synology NAS VII - Cloudspeicher (Drive) einrichten
• Synology NAS VIII - Freigegebene Ordner verschlüsseln

Eine Erreichbarkeit aus dem Netz ist immer ein Risiko. Man sollte hier also wirklich abwägen ob man das wirklich benötigt oder ob einem die Synchronisation im Heimnetz ausreicht. Ein Zwischenschritt wäre die Erreichbarkeit nur via VPN-Verbindung. Um die Cloud-Funktionalität von Synology Drive wirklich ausreizen zu können ist allerdings ein Zugriff aus dem Netz notwendig.

Synology bietet mit der Funktion QuickConnect an und die Möglichkeit in der Systemsteuerung unter Externer Zugriff den Router und die Portfreigaben automatisch zu konfigurieren - ein passendes Router-Modell vorausgesetzt. Dies habe ich nicht getestet, da mir diese automatischen Routinen nicht gefallen. Stattdessen nutze ich weiterhin meinen DDNS-Dienst und die manuelle Konfiguration meines Routers (siehe auch: Externer Zugriff auf den Server).

Um die Verbindung wenigstens zu verschlüsseln bietet Synology die einfache Einrichtung eines Let's Encrypt Zertifikats an. Wichtig ist, dass Port 80 freigegeben ist und DDNS richtig konfiguriert wurde.

Anschließend beantragt man in der Systemsteuerung unter Sicherheit im Reiter Zertifikat ein neues Zertifikat.

Hier kann man im zweiten Schritt auswählen, ob man ein Zertifikat importieren, ein selbst signiertes verwenden oder ein neues Zertifikat bei Let's Encrypt beantragen möchte. Letzteres ist hier uneingeschränkt zu empfehlen. Anschließend ist der DDNS Domainname einzutragen und eine Kontakt E-Mail Adresse hinterlegt werden. Die Beantragung und Einrichtung dauert dann ein wenig, davon sollte man sich nicht beunruhigen lassen.

Ist alles erfolgreich absolviert sollte man - die Freigabe von Port 5001 vorausgesetzt - via DDNS Domain eine HTTPS-Verbindung zur NAS-Oberfläche aufbauen können. Dies benötigt man aber nur wenn man die Webdienste von Drive oder Calender benötigt. Für die Synchronisation wie WebDAV, CalDAV, CardDAV oder mittels Drive Client ist keine Freigabe des Ports für die Oberfläche notwendig.

Hinter der Schaltfläche Konfigurieren verbirgt sich die Möglichkeit unterschiedliche Zertifikate für die verschiedenen Synology-Dienste zu wählen.

Es kann weiterhin sinnvoll sein, jeden HTTP-Zugriff auf eine sichere HTTPS-Verbindung umzuleiten. Dies lässt sich in der Systemsteuerung im Bereich Netzwerk im Reiter DSM-Einstellungen konfigurieren. Bei internen Zugriff über die IP löst man damit allerdings eine Sicherheitswarnung im Browser aus.

Sind alle Schritt absolviert lassen sich die verschiedenen Synology-Dienste über eine sichere HTTPS-Verbindung aufrufen. Die Daten sind damit - stand jetzt - auf dem Transportweg sicher.

Bilder:
Einleitungs- und Beitragsbild von kreatikar via pixabay

Das NAS spielt bei mir eine wichtige Rolle für die stündlichen Time Machine Sicherungen meines Desktop-Systems. Die Einrichtung einer Time Machine Sicherung ist daher bei Homeservern bzw. NAS einer der ersten Schritte.

Dieser Artikel ist Teil einer Serie:

• Synology NAS I: Die Entscheidung für ein Synology NAS
• Synology NAS II: Time Machine Sicherung
• Synology NAS III: Fernzugriff mit Let's Encrypt Zertifikat
• Synology NAS IV: Kalender und Aufgaben synchronisieren
• Synology NAS V: WebDAV Zugriff
• Synology NAS VI: Adressbuch synchronisieren
• Synology NAS VII - Cloudspeicher (Drive) einrichten
• Synology NAS VIII - Freigegebene Ordner verschlüsseln

Die Einrichtung ist relativ einfach. In den Systemsteuerung legt man unter Gemeinsame Ordner einen Ordner für die Sicherung an.

Im Reiter Erweitert sollte man diesem Ordner ein Kontingent zuweisen, da ansonsten potenziell das gesamte NAS vollläuft. Die Größe des Kontingent sollte mindestens so groß sein wie die interne Festplatte des zu sichernden Macs.

Es empfiehlt sich für die Sicherung einen neuen Benutzer anzulegen und diesem Lese- und Schreibrechte auf das Sicherungsziel einzuräumen. Das ist allerdings optional, erleichtert aber die Sicherung von zusätzlichen Mac-Systemen.

Im Abschnitt Dateidienste der Systemsteuerung muss im Reiter Erweitert der Haken bei "Bonjour Time Machine Broadcast über SMB" gesetzt werden. Ansonsten findet macOS das Sicherungsziel nicht.

Anschließend kann man das Synology NAS in macOS als Sicherungsziel für Time Machine auswählen. Das Backup kann und sollte clientseitig verschlüsselt werden, da die Daten sonst ungesichert auf dem NAS vorliegen. Sofern in macOS FileVault (siehe: macOS mit FileVault verschlüsseln) aktiviert ist, offeriert macOS die Verschlüsselung automatisch. Je nach Größe des Systems dauert die initiale Sicherung dann natürlich seine Zeit.

Eine Sicherung auf einem NAS ersetzt natürlich keine vollständige Sicherungsstrategie, sondern kann - wenn überhaupt - nur ein Teil eines ausgeklügelten Backup-Systems sein.

Bilder:

Einleitungs- und Beitragsbild von FreePhotosART via pixabay